So enttarnen Sie Phishing-Betrug

Haben Sie auch schon E-Mails von einer Bank erhalten, deren Kunde Sie zwar nie waren, die Sie aber trotzdem um eine "eilige Überprüfung Ihrer Kundendaten" bittet? Obwohl sie in ihrer Aufmachung offiziell wirken, stammen solche E-Mails nicht wirklich von einer Bank. Stattdessen stecken Betrüger dahinter, die Sie unter einem scheinbar wichtigen Vorwand auf eine Webseite locken wollen, die der Original-Webseite der Bank sehr ähnlich ist. Gibt man seine Zugangsdaten auf einer solchen Spoof-Site ein ("spoof" heißt "hereinlegen"), landen diese nicht bei der Bank, sondern bei Kriminellen. Und die räumen anschließend das Girokonto leer.

Nun lassen sich Phishing-Mails sehr leicht als solche erkennen, wenn man nie Kunde der Bank war, die vorgeblich hinter der E-Mail steckt. Doch spätestens wenn die erste E-Mail von der tatsächlichen Hausbank eingeht, ist guter Rat teuer. Deshalb zeigen wir Ihnen, woran Sie eine Phishing-Attacke erkennen, welche Programme wirklich schützen und wie Sie mit ein paar Vorsichtsmaßnahmen selbst für das notwendige Maß an Sicherheit beim Online-Banking sorgen.

Schnell wachsende Gefahr

Phishing kommt von "fishing" (auf Deutsch: "abfischen"). Dass es kein Einzelschicksal ist, zeigt ein Blick in die Statistik der Anti- Phishing Work Group (APWG, www. antiphishing.org). Bei der APWG handelt es sich um einen zur Bekämpfung von Phishing gegründeten Zusammenschluss namhafter Software-Hersteller und Dienstleistungsunternehmen wie Microsoft, Symantec und Visa. Im Dezember 2006 verzeichnete sie mehr als 24.000 betrügerische Websites, eine Zunahme von fast 60 Prozent gegenüber Dezember 2005.

Der Branchenverband BITKOM (www.bit kom.de) geht von einer durchschnittlichen Schadenshöhe von 4000 Euro je Opfer aus, das auf eine solche Webseite hereinfällt. Noch zählen Finanzdienstleister mit rund 90 Prozent der Phishing-Fälle zu den Unternehmen, deren Kunden am häufigsten betroffen sind. Tatsächlich aber eignet sich jedes große Unternehmen, das Leistungen online erbringt, als Angriffsziel. So sind auch Amazon, eBay und große Internetprovider von Phishing betroffen.

Wie kann man sich vor Phishing schützen und gleichzeitig Online-Banking, Shopping und andere praktische Webfunktionen nutzen, wenn sich Original und Fälschung täuschend ähnlich sind? Ein wichtiger Bestandteil der Selbstverteidigung sind Anti-Phishing- Funktionen, die den Betrugsversuch schon im E-Mail-Programm, spätestens aber im Browser als solchen entlarven. Solche Phishing-Filter überprüfen E-Mails und Webseiten auf verschiedene Betrugsmerkmale und schlagen im Verdachtsfall Alarm, noch bevor etwas passiert. Für die weit verbreiteten E-Mail-Programme Outlook Express und Outlook verwenden Sie am besten den kostenlosen Phishing-Filter Delphish (www.delphish.com).

In aktuellen Browsern, also Internet Explorer 7, Firefox 2 und Opera 9.1, zählt ein Phishing-Filter bereits zu den Grundfunktionen. Wie er funktioniert, erklären wir Ihnen im Absatz "Phishing-Schutz für Browser".

Delphish schützt vor Phishing-Mails

Delphish integriert sich als Plug-in in Outlook oder Outlook Express. Nach dem Start des E-Mail-Programms zeigt sich Delphish in Form einer zusätzlichen Symbolleiste am oberen Rand des Programmfensters.

Die Software prüft E-Mails nicht automatisch, sie wird nur auf Ihr Kommando hin aktiv. Kommt Ihnen eine Nachricht verdächtig vor, markieren Sie diese im Posteingang mit einem linken Mausklick und klicken anschließend auf den Knopf "Auf Phishing prüfen". Daraufhin sendet Delphish die Nachricht an einen Dienst im Internet und analysiert, ob sie zu einem bereits bekannten Phishing-Versuch gehört. Identifiziert das Programm die Nachricht als Phishing- Mail, erscheint ein auffälliger Warnhinweis auf dem Bildschirm. Des Weiteren checkt Delphish, ob die in der E-Mail enthaltenen Links, Formulare, Anlagen etc. Phishingtypische Merkmale aufweisen. So fallen Nachrichten beispielsweise dann negativ auf, wenn sie Links zu Webseiten enthalten, die auf Computern in unterschiedlichen Erdteilen gespeichert sind. Viele Phishing-Mails enthalten zur Tarnung nicht nur einen Link zur Spoof-Webseite im Ausland, sondern auch Verweise auf die echte Bank-Webseite in Deutschland.

Technisch interessierte Leser finden auf der Delphish-Webseite übrigens ein Whitepaper, das eine detaillierte Beschreibung der rund zwei Dutzend Tests enthält, die Delphish durchführt. Auf Basis der so gewonnenen Informationen können Sie sehr gut beurteilen, ob Sie einer E-Mail-Nachricht Vertrauen schenken oder sie lieber gleich löschen sollten.

Delphish arbeitet auch mit Mozilla Thunderbird (www.thunderbird-mail.de) zusammen und ergänzt dabei die in diesem Mail- Programm bereits serienmäßig vorhandene Anti-Phishing-Funktion.

So erkennen Sie Phishing-Attacken

Je mehr der folgenden Fragen Sie angesichts einer verdächtigen E-Mail oder Webseite mit "Ja" beantworten können, desto wahrscheinlicher ist es, dass Sie es mit Phishing zu tun haben. Um Ihre Fähigkeiten als "Phishing-Jäger" zu testen, können Sie außerdem am Phishing-IQ-Test unter https://tinyurl.com/c3tub teilnehmen, in dem Sie zehn Beispiel-E-Mails als Phishing- oder legitime Nachricht identifzieren müssen.

• Enthält die vermeintlich von Ihrer Bank stammende E-Mail einen Betreff, wie "Eilige Überprüfung von Unregelmäßigkeiten", "Sicherheits-Aktualisierung" oder Ähnliches?
• Wenn Sie mit dem Mauszeiger auf die in der E-Mail angegebene Webadresse zeigen, erscheint dann in der Statuszeile des Mail-Programms eine davon abweichende URL?
• Werden Sie aufgefordert, Zugangsdaten und/oder TANs einzugeben, weil angeblich eine "wichtige Aktualisierung" oder ein "Sicherheits- Update" notwendig ist, Ihre Daten "überprüft" werden müssen oder "durch einen Datenunfall verloren" gingen?
• Droht man Ihnen mit einer Sperrung des Online-Banking-Zugangs für den Fall, dass Sie die Daten nicht bis zu einem bestimmten Datum oder "kurzfristig" eingeben?
• Fällt die Webseite durch Rechtschreibfehler und/oder ungewöhnliches Deutsch auf? Sind Sie sich sicher, dass Sie es mit einer Phishing-Mail bzw. Spoof-Site zu tun haben, sollten Sie diese einfach löschen bzw. den Browser schließen. Damit gehen Sie allen Gefahren aus dem Weg.

Phishing-Schutz für Browser

Die Phishing-Filter von Internet Explorer 7, Firefox 2 und Opera 9.1 arbeiten alle nach einem ähnlichen Prinzip: Sie gleichen die Adressen der Webseiten, die Sie besuchen, mit Listen ab, welche die Adressen bekannter Phishing-Webseiten enthalten. Auf dieser Basis zeigen sie gegebenenfalls eine Warnmeldung an.

Internet Explorer sendet dazu jeweils die gesamte Adresse an einen Online-Dienst, sodass sich aus diesen Angaben theoretisch ein Profil Ihrer Surf-Gewohnheiten anlegen lässt. Opera ersetzt einen Teil der Webadresse vor der Übertragung durch einen Zahlencode, was zumindest eine teilweise Anonymisierung bedeutet. Firefox lädt die Liste auf die Festplatte, sodass in der Grundeinstellung gar keine Übertragung Ihrer Webadressen an Dritte stattfindet.

Richtig glücklich ist diese Lösung nicht, denn die Online-Listen können aktuelle Infos über neue Phishing-Angriffe enthalten, die der Kopie auf der Festplatte noch fehlen. Sie können Firefox aber so einstellen, dass der Browser Ihre Adressen mit der Online- Liste von Google abgleicht. Dazu klicken Sie auf "Extras/Einstellungen/Sicherheit" und aktivieren "Überprüfen, indem Google für jede besuchte Webseite gefragt wird". Akzeptieren Sie die Lizenzbedingung und bestätigen Sie mit "OK".

Tipp: Kommen Sie um den Einsatz des älteren Internet Explorer 6 nicht herum, dann sollten Sie die Netcraft Toolbar (kostenlos unter https://toolbar.netcraft.com) installieren. Dieses Tool rüstet den Microsoft-Browser mit einer zusätzlichen Werkzeugleiste aus, die Anti-Phishing-Funktionen enthält.

Pharming – Das automatisierte Phishing

Wo Phishing-Attacken das Vertrauen argloser Anwender missbrauchen, setzt Pharming, ein enger Verwandter des Phishing, auf technische Hilfsmittel. Hier erhalten Sie keine mit den Adressen von Spoof-Sites gespickten E-Mails. Stattdessen sorgt ein Schadprogramm dafür, dass Ihr Browser bei Eingabe von "www.meinehausbank.de" automatisch auf die Spoof-Site umgeleitet wird. Solche Schadprogramme handelt man sich beispielsweise über Software-Downloads aus dubiosen Quellen ein oder über Websites, die Sicherheitslücken in Browsern ausnutzen. Sie können vor allem auf solchen Rechnern erfolgreich arbeiten, die weder durch Virenscanner noch durch Anti-Spyware geschützt werden.

Als Einfallstor für das Pharming fungiert die Datei "hosts". Obwohl es sich bei dieser Datei um ein technisches Relikt aus den Anfangstagen des Internets handelt, findet sie sich auch heute noch auf jedem Windows-PC. Um sich zu schützen, sollten Sie die Datei als erstes mit einem Text-Editor überprüfen, zum Beispiel dem Editor von Windows XP. Sie finden ihn unter "Start/Alle Programme/Zubehör". Öffnen Sie die Datei "hosts" im Editor, sie liegt unter "C:WINDOWSsystem32driversetc". Stellen Sie sicher, dass sie keine Adressen von Online-Banking-Websites enthält. Anderenfalls löschen Sie die entsprechende( n) Zeile(n) und speichern die Datei. Dazu gehen Sie unter Windows XP auf "Start/Arbeitsplatz" und klicken sich anschließend in das Verzeichnis mit der "hosts"-Datei durch. Klicken Sie die Datei mit der rechten Maustaste an und gehen Sie auf "Eigenschaften". Dann setzen Sie ein Häkchen vor "Schreibgeschützt" und bestätigen mit "OK".

Extra-Tipp: Mit Spybot Search & Destroy können Sie die "hosts"-Datei unter "Werkzeuge/IE-Spielereien/Verschiedene Schlösser" mit einem Schreibschutz versehen. Zuvor müssen Sie den "Erweiterten Modus" unter "Modus" aktivieren.

Download Spybot Serach & Destroy (klicken)

Zugangsdaten geheim halten

Selbst der beste Phishing-Filter bleibt eine stumpfe Waffe, wenn der Anwender sich nach dessen Installation vor allen Gefahren sicher fühlt und deshalb sorglos verhält. Erst im Zusammenspiel mit den folgenden Tipps sind Sie rundum sicher.

Die meisten Nutzer verwenden für das Online-Banking das PIN/TAN-Verfahren per Webbrowser. Dabei loggt man sich auf der Banking-Webseite der Bank mit einem Anmeldenamen (zum Beispiel mit der Kundenoder Kontonummer) und einem Passwort (PIN) ein. Danach ist man berechtigt, Informationen wie Umsätze und Kontostände abzufragen. Für Transaktionen wie Überweisungen und das Einrichten von Daueraufträgen ist zusätzlich die Eingabe einer nur einmal gültigen Transaktionsnummer (TAN) notwendig.

Es versteht sich von selbst, dass PIN und TAN-Liste nicht in fremde Hände, sondern in eine verschlossene Schreibtisch-Schublade gehören, damit niemand unberechtigt darauf zugreift. Die PIN sollten Sie am besten sogar nur im Kopf haben und nirgendwo aufschreiben.

Zu einem sicheren Schutz gehört auch, dass Sie die Daten nicht freiwillig an Dritte verraten, sondern grundsätzlich geheim halten. Das gilt auch gegenüber vermeintlichen wie tatsächlichen Mitarbeitern Ihrer Bank. Die Mitarbeiter von Banken werden Sie niemals nach Zugangsdaten fragen – weder per E-Mail noch im persönlichen Gespräch oder am Telefon. Faustregel: Werden Sie nach Zugangsdaten für das Online-Banking gefragt, sollten alle Alarmglocken läuten.

Es gilt aber auch umgekehrt, dass nicht jede Nachricht von Ihrer Bank eine Phishing- Mail darstellt und eine geänderte Optik Ihrer Bank-Webseite nicht immer einen Betrugsversuch – es kann sich schlicht um eine Modernisierung handeln. Wenn Sie unsicher sind, ob Sie wirklich eine E-Mail beziehungsweise Webseite Ihrer Bank vor sich haben oder ob es sich um Phishing handeln könnte, dann helfen Ihnen die Test-Fragen aus dem Kasten "So erkennen Sie Phishing- Attacken" bei der Beurteilung.

So loggen Sie sich sicher ein

Die Online-Banking-Webseite sollten Sie grundsätzlich nur mit der aktuellen Version Ihres Browsers besuchen. Dann können Angreifer ältere und damit weithin bekannte Sicherheitslücken nicht zu Ihrem Nachteil ausnutzen. Loggen Sie sich zum Online-Banking nie von öffentlichen PCs ein, insbesondere nicht aus einem Internetcafe. Sie können nicht sicher sein, dass Ihre Passwort- Eingabe nicht von einem Keylogger-Programm aufgezeichnet und an einen Betrüger übermittelt wird oder dass Dritte aus den Dateien, die der Browser beim Surfen temporär auf der Festplatte anlegt, Informationen gewinnen, die Sie lieber nicht in fremden Händen wissen möchten.

Bevor Sie mit dem Online-Banking loslegen, starten Sie den Browser neu. Während des Bankings laden Sie keine Webseiten in weiteren Browser-Fenstern oder Tabs. Dadurch schieben Sie zwei besonders gemeinen Phishing-Methoden namens "Phishing mit Frames" und "Phishing mit Fenstern" einen Riegel vor. Hier versucht der Angreifer nicht, Sie per E-Mail zum Besuch der Spoof- Site zu bewegen. Stattdessen blendet die in einem Browser-Fenster geladene Webseite ihren kriminellen Inhalt direkt in die tatsächliche Homebanking-Website im anderen Fenster ein. So lassen sich bespielsweise die Original-Formularfelder für die Eingabe der Zugangsdaten mit eigenen Formularfeldern überschreiben, deren Inhalt dann direkt an den Phisher gesendet wird.

Geben Sie die Webadresse der Bank- Webseite immer von Hand in Ihren Browser ein. Die Favoriten oder anderweitig auf dem PC gespeicherte Adressen könnten durch einen Angriff so manipuliert werden, dass sie auf eine Spoof-Site führen. Verzichten Sie für die Banking-Website auch auf den Komfort, den der Passwort-Speicher des Browsers bietet, und tippen Sie die PIN immer manuell ein. Das nimmt Angreifern die Chance, sich durch einen Einbruch in eben diesen Passwort-Tresor zu bereichern.

SSL-Zertifikat – der Ausweis Ihrer Bank

Auch wenn der Browser schon die Online- Banking-Seite geladen hat, lässt sich für noch mehr Sicherheit sorgen. Bevor Sie Ihre Zugangsdaten eingeben, sollten Sie sicherstellen, dass eine verschlüsselte Verbindung zwischen Ihrem Browser und dem Server der Bank existiert. Dann können Dritte nichts mit den Ergebnissen einer eventuellen Abhöraktion anfangen, denn sie erhalten statt Zugangsdaten im Klartext lediglich unleserliches Datenmaterial. Internet Explorer 7, Firefox 2 und Opera 9.1 zeigen eine verschlüsselte Verbindung durch ein Symbol am rechten Ende der Adresszeile des Browsers an, das ein zugeschnapptes Bügelschloss darstellt.

Leider können auch Phisher ihre Spoof-Site so einrichten, dass das Bügelschloss zuschnappt. Banken wie Bösewichte benötigen dazu lediglich ein so genanntes SSL-Zertifikat (Secure Socket Layer), eine Art digitaler Pass, mit dem sich die Website gegenüber dem Browser ausweist. Der Inhaber dieses Ausweises ist dem Browser egal – Ihnen aber nicht. Bestehen Zweifel, dass Sie auf der richtigen Webseite gelandet sind, sollten Sie überprüfen, ob das Zertifikat tatsächlich auf Ihre Bank ausgestellt wurde. Dazu klicken Sie auf das Bügelschloss-Symbol im Browser. Nutzer des Internet Explorers gehen anschließend auf "Zertifikate anzeigen" und Firefox-Anwender auf "Sicherheit/Anzeigen".

Zu den interessanten Infos in der Zertifikatanzeige gehört nicht nur der Name der Bank, sondern auch die in Form von MD5- oder SHA-1-Schlüsseln angegebenen digitalen Fingerabdrücke. Viele Banken geben diese Schlüssel auch auf ihren unverschlüsselten Webseiten an, sodass sie sich leicht mit den Daten aus dem Zertifikat abgleichen lassen. Weicht der Abdruck des Zertifikats von dem auf der Bank-Website angegebenen Abdruck ab, ist höchste Vorsicht geboten.

Phishing – So hilft Ihre Bank

Banken bieten neue Methoden, die vor Phishing schützen sollen.

iTAN, mTAN und Smart-TANiTAN, mTAN und Smart-TAN ähneln dem PIN/TAN-Verfahren. Neuerungen betreffen ausschließlich die Verwaltung der Transaktionsnummern (TAN). Aufträge lassen sich nur noch durch eine bestimmte TAN von der Liste freischalten – welche das ist, teilt der Bank-Server Ihnen während des Online-Bankings mit. Dadurch sinkt das Risiko, dass ein Angreifer mit einer ergatterten TAN auch tatsächlich etwas anfangen kann.

Beim mTAN-Verfahren übermittelt der Bank-Server eine nur für die aktuelle Transaktion gültige TAN während des Bankings per SMS auf das Mobiltelefon. Das bringt mehr Sicherheit, verursacht aber auch Mehrkosten, beispielsweise 9 Cent je SMS bei der Postbank.

Wenig nützlich erscheint uns Smart-TAN der Volks- und Raiffeisenbanken, bei dem die TAN von einem kleinen Gerät erzeugt wird, in das man die Maestro-Card (ECKarte) schiebt. Wer die Karte ergattert, kann so auch TANs erzeugen.

HBCI/FinTSSicheren Schutz vor Phishing bietet HBCI (Homebanking Computer Interface), das seit einiger Zeit auch unter dem Namen FinTS (Financial Transactions Service) bekannt ist. An die Stelle von PIN und TAN treten mit dem öffentlichen Schlüssel der Bank und Ihrem privaten Schlüssel zwei Zahlenkombinationen, die auf einer Chipkarte oder in einer Datei auf Diskette oder USB-Stick gespeichert werden.

Diese Schlüssel identifizieren Sie gegenüber dem Server der Bank und sorgen für die Verschlüsselung der Datenübertragung. Sie sind nur nach Eingabe einer PIN zugänglich. Anders als beim PIN/TAN-Verfahren wird letztere aber nicht per Internet übertragen, sondern verbleibt lokal auf dem PC. Bei HBCI mit Chipkarte und einem Kartenlesegerät mit eigener Tastatur lässt sie sich nicht einmal mithilfe von Keyloggern ausspionieren.

Nachteile von HBCI/FinTS: Neben einer kompatiblen Homebanking-Software wie Quicken 2007 (www.lexware.de) benötigen Sie gegebenenfalls auch eine Chipkarte sowie ein Lesegerät, was zu Gesamtkosten von etwa 70 bis 100 Euro führt.

Wichtige Aufräumarbeiten

Wenn Sie Ihre Bankgeschäfte erledigt haben, sollten Sie sich stets durch einen Klick auf "Abmelden", "Verlassen", "Ausloggen" oder eine ähnliche Schaltfläche vom Bank-Server abmelden. Anschließend löschen Sie die Spuren Ihres Ausflugs auf die Webseite von der Festplatte. Dabei hilft Ihnen die im Browser integrierte Reinigungsfunktion. In Internet Explorer 7 finden Sie diese unter "Extras/Browserverlauf löschen", in Firefox unter "Extras/Private Daten löschen" und in Opera unter "Extras/Internetspuren löschen". Nützlich ist insbesondere das Löschen temporärer Dateien (auch "Cache" genannt) und der Cookies des Bank-Servers.